Una función de seguridad se puede realizar mediante una combinación de varias SRP/CS (entrada del sistema, unidad de tratamiento de señales, salida del sistema). Estas SRP/CS pueden estar asignadas a una o a varias categorías. Para cada SRP/CS utilizada, se debe seleccionar una categoría de acuerdo con el apartado 6.2. Para la combinación global de estas SRP/CS, se puede encontrar un PL global utilizando los métodos descritos en este apartado. En este caso, se requiere la validación de la combinación de SRP/CS (véase la figura 3).
De acuerdo con el apartado 6.2, la combinación de las partes relativas a la seguridad de un sistema de mando comienza en los puntos en los que se inician las señales relativas a la seguridad y termina a la salida de los elementos de mando de potencia. Pero la combinación de SRP/CS puede consistir en conectar varias partes de una manera lineal (alineamiento en serie) o redundante (alineamiento en paralelo). Con el fin de evitar una compleja nueva estimación del nivel de prestaciones (PL) obtenido mediante la combinación de SRP/CS cuando ya se han calculado los PL separados de todas
Se asume que hay N SRP/CS separadas, en una combinación en serie, combinación que en conjunto desempeña una
función de seguridad. Para cada SRP/CSi, ya se ha calculado un PLi. Esta situación se muestra en la figura 13 (véase
también la figura 4 y la figura H.2).
Si se conocen los valores de las PFHD de todas las SRP/CSi, entonces la PFHD de la combinación de las SRP/CS es la
suma de todos los valores de las PFHD de las N SRP/CSi individuales. El PL de la combinación de las SRP/CS está
limitado por:
– el valor de PL más bajo de todas las SRP/CSi individuales implicadas en el desempeño de la función de seguridad
(porque el PL viene determinado también por aspectos no cuantificables); y
– el PL correspondiente a la PFHD de la combinación de las SRP/CS de acuerdo con la tabla 2.
NOTA Véase el anexo H y el apartado 8.2.6 del Informe Técnico ISO/TR 23849 para un ejemplo de este método.
SRP/CS PL
PFHD = PFHD1 + PFHD2 + ... + PFHDN
Figura 13 – Combinación de SRP/CS para obtener un PL global
Si no se conocen los valores de las PFHD de todas las SRP/CSi individuales, entonces como alternativa más
desfavorable al método descrito anteriormente, el PL del conjunto de la combinación de las SRP/CS que desempeñan la función de seguridad se puede calcular utilizando la tabla 11 como sigue:
a) Identificar el PLi más bajo: éste es el PLlow.
b) Identificar el número N low N de las SRP/CSi, que tengan un PLi = PLlow.
Tabla 11 – Cálculo del PL para SRP/CS alineadas en serie PLlow N low PL a 3 Ninguno, no autorizado 3 a b 2 a 2 b c 2 b 2 c d 3 c 3 d e 3 d 3 e
NOTA Los valores calculados de esta tabla están basados en los valores de fiabilidad medios de cada PL.
7 Consideración de defectos, exclusión de defectos
7.1 Generalidades
De acuerdo con la categoría seleccionada, las partes relativas a la seguridad se deben diseñar con el objetivo de obtener el nivel de prestaciones requerido (PLr ). Se debe evaluar la capacidad para resistir defectos.
7.2 Consideración de defectos
En la Norma ISO 13849-2 se listan los defectos y fallos importantes para diversas tecnologías. Las listas de defectos no son exhaustivas y, si es necesario, se deben tener en cuenta y enumerar defectos suplementarios. En tales casos, también se debería detallar claramente el método de valoración. Para nuevos componentes no mencionados en la Norma ISO 13849-2, se debería realizar un análisis de los modos de fallo y sus efectos (AMFE, véase la Norma IEC 60812) para establecer los defectos que se deben tener en cuenta para estos componentes.
En general, se deben tener en cuenta los siguientes criterios de defectos:
– si, como consecuencia de un defecto, otros componentes fallan, el primer defecto y todos los siguientes se deben
considerar como un solo defecto;
– dos o más defectos distintos que tengan una causa común, se deben considerar como un solo defecto (conocido
como CCF);
– se considera altamente improbable la ocurrencia simultánea de dos o más defectos independientes y, por lo tanto, no
es necesario tenerlo en cuenta.
7.3 Exclusión de defectos
No es siempre posible valorar las SRP/CS sin asumir que determinados defectos se pueden excluir. Para una información detallada sobre la exclusión de defectos, véase la Norma ISO 13849-2.
La exclusión de defectos es un compromiso entre los requisitos técnicos de seguridad y las posibilidades teóricas de que ocurra un defecto.
La exclusión de defectos se puede basar en:
– la improbabilidad técnica de que ocurran determinados defectos;
– la experiencia técnica generalmente admitida que se puede utilizar independientemente de la aplicación considerada; y
– los requisitos técnicos relativos a la aplicación y al riesgo específico estudiado.
Si se excluyen defectos, se debe dar una justificación detallada en la documentación técnica.
8 Validación
Se debe validar el diseño de las SRP/CS (véase la figura 3). La validación debe demostrar que la combinación de SRP/CS que proporciona cada función de seguridad, satisface todos los requisitos aplicables de esta parte de la Norma ISO 13849.
Para una información detallada sobre la validación, véase la Norma ISO 13849-2.
9 Mantenimiento
Normalmente es necesario un mantenimiento preventivo o correctivo para mantener las prestaciones especificadas de las partes relativas a la seguridad. Las variaciones con el tiempo de las prestaciones especificadas pueden conducir al deterioro de la seguridad o incluso conducir a una situación peligrosa. La información para la utilización de las SRP/CS debe incluir instrucciones para el mantenimiento (incluyendo la inspección periódica) de las SRP/CS.
Las disposiciones para la mantenibilidad de las partes de un sistema de mando relativas a la seguridad, deben respetar los principios establecidos en 6.2.7 de la Norma ISO 12100:2010. Toda la información relativa al mantenimiento debe ser conforme con el punto e) del apartado 6.4.5.1 de la Norma ISO 12100:2010.
10 Documentación técnica
Cuando se diseña una SRP/CS, el diseñador debe documentar, como mínimo, la siguiente información relativa a dicha parte relativa a la seguridad:
– la(s) función(es) de seguridad proporcionada(s) por la SRP/CS;
– las características de cada función de seguridad;
– los puntos exactos en los que comienza(n) y termina(n) la (las) parte(s) relativa(s) a la seguridad;
– las condiciones ambientales;
– el nivel de prestaciones (PL); – la(s) categoría(s) seleccionada(s);
– los parámetros relativos a la fiabilidad (MTTFD, DC, CCF y duración de la misión);
– la(s) tecnología(s) utilizada(s);
– todos los defectos relativos a la seguridad que se han tenido en cuenta;
– la justificación de las exclusiones de defectos (véase la Norma ISO 13849-2);
– el razonamiento seguido en el diseño (por ejemplo, los defectos considerados, los defectos excluidos);
– la documentación del soporte lógico;
– las medidas contra un mal uso razonablemente previsible.
NOTA En general, esta documentación está prevista para uso interno del fabricante y no será distribuida al usuario de la máquina.
11 Información para utilización
Se deben aplicar los principios del apartado 6.4.5.2 de la Norma ISO 12100:2010, y las partes aplicables de otros docu- mentos pertinentes, por ejemplo, el capítulo 17 de la Norma IEC 60204-1:2005. En particular, se debe dar al usuario la información que sea importante para la utilización segura de las SRP/CS. Esto debe incluir, aunque de manera no restrictiva, lo siguiente:
– los límites de las partes relativas a la seguridad para la(s) categoría(s) seleccionada(s) y las exclusiones de defectos;
– los límites de la SRP/CS y todas las exclusiones de defectos (véase 7.3), para las que, cuando son esenciales para
mantener la(s) categoría(s) seleccionada(s) y las prestaciones de seguridad, se debe dar la información apropiada (por ejemplo, para la modificación, el mantenimiento y la reparación), con el fin de asegurar que las exclusiones de defectos permanecen justificadas;
– los efectos de las variaciones de las prestaciones especificadas sobre la(s) función(es) de seguridad;
– descripciones claras de las interfaces entre las SRP/CS y los dispositivos de protección;
– el tiempo de respuesta;
– los límites de funcionamiento (incluyendo las condiciones ambientales);
– las indicaciones y alarmas;
– la inhibición y la neutralización de las funciones de seguridad;
– los modos de mando;
– el mantenimiento (véase el capítulo 9);
– las listas de comprobación para el mantenimiento;
– la facilidad de acceso y de sustitución de partes internas;
– medios que permitan que la localización de averías sea segura y fácil;
– información que explique las aplicaciones para la utilización correspondiente a la categoría a la que se hace
referencia;
Se debe dar información específica sobre la(s) categoría(s) y el nivel de prestaciones de las SRP/CS, de la manera siguiente:
– la referencia con fecha de esta parte de la Norma ISO 13849 (es decir ISO 13849-1:2006);
– la categoría B, 1, 2, 3 o 4;
– el nivel de prestaciones “a”, “b”, “c”, “d” o “e”.
EJEMPLO Una SRP/CS conforme a esta edición de la Norma ISO 13849-1, de categoría B y de nivel de prestaciones “a”, sería
denominada de la manera siguiente:
Anexo A (Informativo)
Determinación del nivel de prestaciones requerido (PL
r)
A.1 Selección del PL
rEl anexo A trata de la contribución a la reducción del riesgo aportada por las partes del sistema de mando relativas a la seguridad consideradas. El método dado aquí proporciona solamente una estimación de la reducción del riesgo requerida y está destinado sólo para guiar al diseñador y a los que elaboran las normas, en la determinación del PLr para
cada función de seguridad que deba desempeñar una SRP/CS.
NOTA Esta metodología para estimar el PLrno es obligatoria. Es un enfoque genérico que asume el caso más desfavorable de la probabilidad de
ocurrencia de un suceso peligroso (es decir, la probabilidad de ocurrencia es 100%). Se pueden utilizar otros métodos de estimación del riesgo para determinados tipos de máquinas según sea apropiado y se debería tener en cuenta la experiencia en tratar con éxito máquinas/peligros similares a la hora de estimar el P Lr . Por lo tanto, el PL requerido por una norma de tipo C puede diferir de aquel indicado
por el enfoque genérico dado en la figura A.1.
El gráfico de la figura A.1 se basa en la situación previa a la existencia de la función de seguridad prevista (véase
también el Informe Técnico ISO/TR 22100-2:2013). Para determinar la PLr de la función de seguridad prevista se debe
tener en cuenta la reducción del riesgo por medidas técnicas independientes del sistema de mando (por ejemplo, resguardos mecánicos), o funciones de seguridad adicionales; en cuyo caso, el punto de partida de la figura A.1 se selecciona después de la aplicación de estas medidas (véase también la figura 2).
La gravedad de la lesión (denominada S) sólo se estima de forma aproximada (por ejemplo, laceración, amputación, muerte). Para la probabilidad de que ésta se produzca, se utilizan parámetros auxiliares para mejorar la estimación. Estos parámetros son:
– la frecuencia y la duración de la exposición al peligro (F); y – la posibilidad de evitar el peligro o de limitar el daño (P).
La experiencia ha mostrado que estos parámetros se pueden combinar, como en la figura A.1, para obtener una gradación del riesgo, de bajo a alto. Es preciso subrayar que este es un proceso cualitativo que solamente da una estimación del riesgo.
A.2 Guía de selección de los parámetros S, F y P para la estimación del riesgo
A.2.1 Gravedad de una lesión S1 y S2
Al estimar el riesgo que resulta de un fallo de la función de seguridad, solamente se consideran las lesiones ligeras (normalmente reversibles) y las lesiones graves (normalmente irreversibles, incluyendo la muerte).
Para tomar una decisión a la hora de determinar S1 y S2, se deberían tener en cuenta las consecuencias habituales de los accidentes y los procesos de curación normales; por ejemplo, los hematomas y/o laceraciones sin complicaciones se clasificarían como S1, mientras que una amputación o una muerte se clasificaría como S2.
A.2.2 Frecuencia y/o tiempo de exposición al peligro F1 y F2
No es posible especificar una duración que sea válida en todos los casos, para elegir entre los parámetros F1 o F2. Sin embargo, las explicaciones siguientes pueden ayudar a tomar la decisión correcta en caso de duda.
Se debería seleccionar F2 si una persona está frecuentemente o continuamente expuesta al peligro. Es irrelevante el hecho de que sean las mismas o diferentes personas las que están expuestas al peligro en exposiciones sucesivas, por ejemplo, en la utilización de ascensores. El parámetro frecuencia se debería seleccionar en función de la frecuencia y de la duración de la exposición al peligro.
Si la tasa de solicitación de la función de seguridad es conocida por el diseñador, se pueden seleccionar la frecuencia y la duración de esta solicitación, en lugar de la frecuencia y la duración de la exposición al peligro. En esta parte de la Norma ISO 13849, se supone que la tasa de solicitación de la función de seguridad es superior a una vez por año.
El período de exposición se debería evaluar sobre la base de un valor medio que pueda ser visto en relación al período total de tiempo durante el cual se utiliza el equipo. Por ejemplo, si es necesario acceder regularmente entre las herramientas de la máquina durante el funcionamiento cíclico con el fin de alimentar y mover las piezas de trabajo, entonces se debería seleccionar F2.
Si no existe otra justificación, se debería elegir F2 si la frecuencia es mayor de una vez cada 15 min.
Se puede elegir F1 si el tiempo de exposición acumulado no excede de 1/20 del tiempo de funcionamiento global y la frecuencia no es mayor de una vez cada 15 min.
A.2.3 Posibilidad de evitar el peligro P1 y P2 y probabilidad de ocurrencia
La probabilidad de evitar el peligro y la probabilidad de ocurrencia de un suceso peligroso se combinan en el parámetro P. Cuando se produce una situación peligrosa, sólo se debería seleccionar P1 si hay una posibilidad real de evitar un peligro o de reducir significativamente su efecto; de lo contrario se debería seleccionar P2.
Cuando la probabilidad de ocurrencia de un suceso peligroso se puede justificar como baja, la PL r se puede reducir un
nivel, véase el apartado A.2.3.2.
A.2.3.1 Posibilidad de evitar el peligro
Es importante saber si se puede reconocer una situación peligrosa antes de que pueda causar daño y así evitarlo. Por ejemplo, se puede identificar la exposición a un peligro directamente por sus características físicas, o solamente se puede reconocer por medios técnicos, por ejemplo, indicadores. Otros aspectos importantes que influyen en la selección
del parámetro P, incluyen, por ejemplo:
– velocidad de aparición del suceso peligroso (por ejemplo, rápida o lenta);
– posibilidad de evitar el peligro (por ejemplo, escapando);
– experiencias prácticas de seguridad relativas al proceso;
– si son utilizadas por operadores entrenados y adecuados;
– utilizadas con o sin supervisión.
A.2.3.2 Probabilidad de ocurrencia de un suceso peligroso
La probabilidad de ocurrencia de un suceso peligroso depende tanto de la conducta humana como de los fallos técnicos. En la mayoría de los casos, las probabilidades apropiadas son desconocidas o difíciles de identificar. La estimación de la probabilidad de ocurrencia de un suceso peligroso se debería basar en factores que incluyen:
– datos de fiabilidad;
– historial de accidentes en las máquinas comparables.
NOTA Un bajo número de accidentes no significa necesariamente que la ocurrencia de sucesos peligrosos es baja, sino que las medidas de seguridad en las máquinas son suficientes.
Las máquinas son comparables si
– incluyen el(los) mismo(s) riesgo(s) que la función de seguridad pertinente tiene previsto reducir,
– requieren el mismo proceso y la misma acción del operador,
– aplican la misma tecnología que causa el peligro.
Leyenda
1 Punto de partida para la estimación de la contribución de las funciones de seguridad a la reducción del riesgo L Contribución a la reducción del riesgo baja
H Contribución a la reducción del riesgo alta PLr Nivel de prestaciones requerido
Parámetros del riesgo: S Gravedad de la lesión
S1 Lesión leve (normalmente reversible)
S2 Lesión grave (normalmente irreversible, incluyendo la muerte) F Frecuencia y/o duración de la exposición al peligro
F1 Raro a bastante frecuente y/o corta duración de la exposición F2 Frecuente a continuo y/o larga duración de la exposición P Posibilidad de evitar el peligro o de limitar el daño P1 Posible en determinadas condiciones
P2 Raramente posible
Figura A.1 – Gráfico del riesgo para determinar el nivel de prestaciones
requerido (PLr) para cada función de seguridad
La figura A.1 proporciona una guía para la determinación del PLr relativo a la seguridad en función de la evaluación del
riesgo para toda la máquina. El método de evaluación del riesgo se basa en la Norma ISO 12100 (véase la figura 1 y también el Informe Técnico ISO/TR 22100-2). El gráfico se debería considerar para cada función de seguridad.
A.3 Superposición de peligros
Cuando se utiliza la Norma ISO 13849-1, todos los peligros se consideran como un peligro o situación peligrosa específica. Para la cuantificación del riesgo, por lo tanto, cada peligro se puede evaluar por separado.
Cuando es obvio que hay una combinación de peligros relacionados directamente que siempre se producen de forma simultánea entonces éstos se deberían combinar en la estimación del riesgo.
La determinación de si los peligros se deberían considerar por separado o en combinación se debería tener en cuenta durante la evaluación del riesgo de la máquina.
EJEMPLO 1 Un robot de soldadura continua puede crear diversas situaciones peligrosas simultáneas, por ejemplo, aplastamiento causado por el movimiento y quemaduras debidas al proceso de soldadura. Esto se puede considerar como una combinación de peligros directamente relacionados.
EJEMPLO 2 Para una célula robotizada en la que los robots están trabajando por separado, cada robot se considera por separado.
EJEMPLO 3 Como resultado de una evaluación de riesgos de una mesa giratoria con dispositivos de amarre, se puede considerar cada dispositivo de amarre por separado.
Anexo B (Informativo)
Método de los bloques y diagrama de bloques relativo a la seguridad
B.1 Método de los bloques
El enfoque simplificado requiere una representación lógica de las SRP/CS mediante bloques. Las SRP/CS se deberían dividir en un pequeño número de bloques según las líneas directrices siguientes:
– los bloques deberían representar unidades lógicas de las SRP/CS, relativas a la ejecución de la función de seguridad;
– convendría separar los diferentes canales de la función de seguridad en diferentes bloques (si un bloque ya no es
capaz de desempeñar su función, no debería quedar afectada la ejecución de la función de seguridad a través de los bloques del otro canal);
– cada canal puede estar constituido por uno o varios bloques (no es obligatorio el número de tres bloques por canal,
entrada, tratamiento y salida, en las arquitecturas tipo, sino que simplemente es un ejemplo para una separación lógica dentro de cada canal);
– cada unidad de soporte material de las SRP/CS debería pertenecer a un solo bloque, lo que permite calcular la MTTD
del bloque a partir de las MTTFD de las unidades de soporte material que pertenecen al bloque (por ejemplo,
mediante un análisis de los modos de fallo y sus efectos o por el método del recuento de partes, véase D.1);
– las unidades de soporte material utilizadas solamente para diagnóstico (por ejemplo, un equipo de ensayo), y que
cuando fallan peligrosamente no afectan a la ejecución de la función de seguridad en los diferentes canales, pueden ser separadas de las unidades de soporte material necesarias para la ejecución de la función de seguridad de los diferentes canales.
NOTA Para los fines de esta parte de la Norma ISO 13849, los bloques no corresponden a los bloques funcionales o a los bloques de fiabilidad.
B.2 Diagrama de bloques relativo a la seguridad
Los bloques definidos por el método de bloques, se pueden utilizar para representar gráficamente la estructura lógica de las SRP/CS en un diagrama de bloques. Para dicha representación gráfica, se pueden seguir las líneas directrices siguientes:
– el fallo de un bloque en una alineación de bloques en serie conduce al fallo de todo el canal (por ejemplo, en el caso